r>[0057]同时,应当明白,为了便于描述,附图中所示出的每个部分的尺寸并不是按照实际的比例关系绘制的。
[0058]以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
[0059]对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
[0060]应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
[0061]图1为本发明一实施例中的恶意代码误报的追踪方法的流程图。图1中恶意代码误报的追踪方法包括:
[0062]S102,获取恶意代码误报样本;
[0063]S104,将恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;
[0064]S106,根据相似误报样本确定导致恶意代码误报的样本特征。
[0065]恶意代码是指存放恶意代码的文件实体形态,其可以是独立的恶意代码载体文件,被感染型恶意代码感染后的文件对象,也可以是非文件载体恶意代码的文件镜像(包括但不限于引导性病毒的文件镜像、内存恶意代码的文件镜像、以及网络恶意代码的数据包文件)。本实施例中,恶意代码误报样本为客户端(计算机或移动终端)在接收到杀毒引擎(如360提供的QVM引擎)发送的恶意代码提醒之后,又获知该恶意代码提醒对应的文件实质上并非恶意代码时,客户端提供的与恶意代码提醒对应的文件。
[0066]本实施例中,可以通过客户端-服务器(Client-Server)架构来获取恶意代码误报样本。
[0067]本发明实施例中误报样本库中的样本都是根据已获取的恶意代码误报样本而形成的,因此,可将恶意代码误报样本与误报样本库中的样本进行相似度匹配。
[0068]在一个实施例中,图1中S104将所述恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本可进一步包括:将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中的每个样本的相似度值;判断每个所述相似度值是否大于相似度阈值;若大于,则将该相似度值对应的误报样本库中样本确定为相似误报样本。
[0069]本实施例中,将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值可进一步包括:
[0070]将所述恶意代码误报样本的源代码分别与误报样本库中每个样本的源代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
[0071]将所述恶意代码误报样本中的核心代码分别与误报样本库中每个样本中的核心代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
[0072]将所述恶意代码误报样本的源代码进行切片,以及将误报样本库中每个样本的源代码进行切片,通过消息摘要算法第五版MD5分别对所述恶意代码误报样本的切片与误报样本库中每个样本的对应切片进行计算,获取两个对应切片的MD5值,比较两个对应切片的MD5值之间的相似度,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值。
[0073]本实施例中,通过先获取恶意代码误报样本;接着将恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;再接着根据相似误报样本确定导致恶意代码误报的样本特征。通过将获取的恶意代码误报样本与误报样本库中的样本进行相似度匹配,确定恶意代码误报样本的相似误报样本,进而确定导致恶意代码误报的样本特征,查明导致恶意代码误报的原因。
[0074]图2为图1实施例中形成误报样本库的流程图。图1实施例中S104的误报样本库可通过如下步骤形成:
[0075]S202,获取恶意代码误报的统计样本;
[0076]S204,根据恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征;
[0077]S206,将恶意代码误报样本及其对应的样本特征关联存储,形成误报样本库。
[0078]本实施例中,恶意代码误报的统计样本为从客户端收集的多个恶意代码误报样本。
[0079]为了提高误报样本库中样本的分散度,本实施例中S204可进一步包括:对恶意代码误报的统计样本进行样本筛选,确定恶意代码误报的学习样本;获取恶意代码误报的学习样本的样本特征;根据所获取的样本特征进行样本推演,获取与样本特征对应的恶意代码误报样本。
[0080]具体的,在获取恶意代码误报的学习样本的样本特征过程中,可以采用对PE(Portable Execute)结构分块或者采用N-gram算法统计特征,计算特征的信息增益,选择前N项作为样本特征。
[0081 ]由于近年来对软件加壳或保护日益盛行,获取基本的PE内部信息日益困难,为了有效还原恶意代码误报的学习样本的信息,在采用对PE结构分块获取样本特征时,对常见的壳可采用静态脱壳技术,对非常见的壳可采用虚拟机脱壳。
[0082]由于本发明实施例相似误报样本获取过程中,需将恶意代码误报样本与误报样本库中的样本进行相似度匹配,因此,这种方式下的误报样本库非常关键,需根据新的恶意代码误报样本的出现,不断地进行更新以及补充误报样本库中样本。为此,本实施例中恶意代码误报的追踪方法还包括:根据新获取的恶意代码误报样本,对误报样本库进行更新。即对新获取的恶意代码误报样本进行样本特征提取,并将新的恶意代码误报样本及其对应的样本特征关联存储于误报样本库中。
[0083]本实施例中误报样本库的更新及时,利于导致恶意代码误报的样本特征的快速确定,提高了查明导致恶意代码误报的原因的效率。
[0084]图3为本发明另一实施例中的恶意代码误报的追踪方法的流程图。图3中恶意代码误报的追踪方法包括:
[0085]S302,获取恶意代码误报样本;
[0086]S304,将恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;
[0087]S306,根据相似误报样本确定导致恶意代码误报的样本特征;
[0088]S308,将导致恶意代码误报的样本特征发送至QVM引擎。
[0089]与图1中恶意代码误报的追踪方法相比,图3中恶意代码误报的追踪方法将导致恶意代码误报的样本特征发送至QVM引擎,从而方便QVM引擎根据导致恶意代码误报的样本特征,修改QVM引擎的黑名单中恶意代码样本的黑白属性,以及在QVM引擎的白名单中添加非恶意代码样本。在确定导致恶意代码误报的样本特征之后,QVM引擎根据所获取的恶意代码误报的样本特征,修改QVM引擎的黑名单中恶意代码样本的黑白属性,更新其黑名单和白名单中的样本,进而提尚QVM引擎在后续恶意代码判断过程的效率和准确率,提尚QVM引擎的鲁棒性,有效减少恶意代码误报对用户造成的困扰。
[0090]在本发明恶意代码误报的追踪方法另一个实施例中,所述恶意代码误报样本由移动终端在发生恶意代码误报时提交。
[0091]此时,为了获知移动终端中恶意代码误报样本对应的其他样本是否出现恶意代码误报,以及出现恶意代码误报的版本,本实施例中恶意代码误报的追踪方法在获取恶意代码误报样本之后,还可包括:
[0092]查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本;
[0093]对移动终端中所述恶意代码误报样本及其对应的其他版本样本进行筛选,确定提交恶意代码误报的第一样本集合;
[0094]将所述第一样本集合中每个样本与误报样本库中的样本进行相似度匹配,获取所述第一样本集合中每个样本的相似误报样本。
[0095]进一步的,为了获知预定时间范围内,移动终端中提交的与恶意代码误报样本对应的其他样本是否出现恶意代码误报,以及出现恶意代码误报的版本,设定反查周期。本实施例中恶意代码误报的追踪方法仅仅在反查周期内,查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本。
[0096]在本发明恶意代码误报的追踪方法另一个实施例中,所述恶意代码误报样本由个人电脑在发生恶意代码误报时提交。
[0097]此时,为了获知个人电脑中恶意代码误报样本对应的其他样本是否出现恶意代码误报,以及出现恶意代码误报的版本,本实施例中恶意代码误报的追踪方法在获取恶意代码误报样本之后,还可包括:
[0098]查找所述个人电脑中与所述恶意代码误报样本对应的其他版本样本;
[0099]对个人电脑中所述恶意代码误报样本及其对应的其他版本样本进行筛选,确定提交恶意代码误报的第二样本集合;
[0100]将所述第二样本集合中每个样本与误报样本库中的样本进行相似度匹配,获取所述第二样本集合中每个样本相似误报样本。
[0101]由于个人电脑中包括的代码量很大,为了在大量代码中快速查找到个人电脑中与所述恶意代码误报样本对应的其他版本样本,在一个实施例中,通过DUP(duplicate缩写)语言查找所述个人电脑中与所述恶意代码误报样本对应的其他版本样本。其具体可通过个人电脑中